La Agencia de Seguridad Nacional de EE. UU. ha confirmado que los piratas informáticos que explotan fallas en el dispositivo VPN empresarial ampliamente utilizado de Ivanti han apuntado a organizaciones de todo el sector de defensa de EE. UU.
El portavoz de la NSA, Edward Bennett, confirmó en un comunicado enviado por correo electrónico a TechCrunch el viernes que la agencia de inteligencia estadounidense, junto con sus homólogos interinstitucionales, está “siguiendo y siendo consciente del amplio impacto de la reciente explotación de los productos Ivanti, incluido el [sic] Sector de defensa estadounidense”.
“El [NSA’s] El Centro de Colaboración en Ciberseguridad continúa trabajando con nuestros socios para detectar y mitigar esta actividad”, añadió el portavoz.
La confirmación de que la NSA está rastreando estos ciberataques se produce días después de que Mandiant informara que presuntos piratas informáticos de espionaje chinos han realizado “intentos masivos” para explotar múltiples vulnerabilidades que afectan a Ivanti Connect Secure, el popular software VPN de acceso remoto utilizado por miles de corporaciones y grandes organizaciones en todo el mundo.
mandante dijo a principios de esta semana que los piratas informáticos respaldados por China rastreados como un grupo de amenazas al que llama UNC5325 se habían dirigido a organizaciones de una variedad de industrias. Esto incluye el sector de base industrial de defensa de EE.UU., una red mundial de miles de organizaciones del sector privado que proporcionan equipos y servicios al ejército de EE.UU., dijo Mandiant. citando hallazgos anteriores de la empresa de seguridad Volexity.
En su análisis, Mandiant dijo que UNC5325 demuestra un “conocimiento significativo” del dispositivo Ivanti Connect Secure y ha empleado técnicas de supervivencia (el uso de herramientas y características legítimas que ya se encuentran en el sistema objetivo) para evadir mejor la detección, Mandiant dicho. Los piratas informáticos respaldados por China también han implementado un nuevo malware “para permanecer integrado en los dispositivos Ivanti, incluso después de restablecimientos de fábrica, actualizaciones del sistema y parches”.
Esto era se hizo eco en un aviso publicado por la agencia de ciberseguridad estadounidense CISA el jueves, que advirtió que los piratas informáticos que explotan los dispositivos VPN vulnerables de Ivanti pueden mantener la persistencia a nivel de raíz incluso después de realizar restablecimientos de fábrica. La agencia federal de ciberseguridad dijo que sus propias pruebas independientes mostraron que los atacantes exitosos son capaces de engañar a la herramienta Integrity Checker de Ivanti, lo que puede resultar en una “falla al detectar el compromiso”.
En respuesta a los hallazgos de CISA, el director de seguridad de la información de campo de Ivanti, Mike Riemer, minimizó los hallazgos de CISA y le dijo a TechCrunch que Ivanti no cree que las pruebas de CISA funcionen en un entorno de cliente real. Riemer agregó que Ivanti “no tiene conocimiento de ningún caso de persistencia exitosa de actores de amenazas luego de la implementación de las actualizaciones de seguridad y restablecimientos de fábrica recomendados por Ivanti”.
Aún se desconoce exactamente cuántos clientes de Ivanti se ven afectados por la explotación generalizada de las vulnerabilidades de Connect Secure, que comenzó en enero.
Akamai dijo en un análisis publicado la semana pasada que los piratas informáticos lanzan aproximadamente 250.000 intentos de explotación cada día y se han dirigido a más de 1.000 clientes.